Почему банки берут на вооружение современный подход к кибербезопасности — модель «Никому не доверяй»

В наше время многие банки все еще полагают, что если возвести стены и выкопать ров или, говоря современным языком, обеспечить безопасность сетевого периметра, то данные будут защищены от вредоносных атак. Подобно средневековым замкам, эти банки не жалеют средств на свои укрепления, только вместо каменных стен, рвов с водой и укрепленных ворот в ход идут брандмауэры, прокси-серверы, ловушки Honeypot и прочие средства для предотвращения вторжения. Безопасность периметра охраняет точки входа и выхода в сеть, проверяя пакеты данных и удостоверения пользователей, входящих в корпоративную сеть и покидающих ее. При этом подразумевается, что происходящее внутри укрепленного периметра относительно безопасно.

Однако финансовые учреждения, осведомленные о новейших возможностях, отказываются от этой парадигмы в пользу современного подхода к кибербезопасности — модели «Никому не доверяй». Как указывает название, основной принцип этой модели по умолчанию ставит под сомнение всех и всё по обе стороны периметра и для предоставления доступа требует строгой проверки каждого человека или устройства.

Охрана периметра не утратила свою важность, но с моделью «Никому не доверяй» вам больше не придется вкладывать все новые средства в «укрепление стен и расширение рвов». Вместо этого вы сможете опробовать более гибкое управление доступом к удостоверениям, данным и устройствам, находящимся в пределах пресловутого «замка». Новый подход не позволит пользователям или устройствам автоматически получить доступ к данным. Если кто-то из сотрудников пожелает навредить или просто пренебрежет мерами безопасности, и даже если внутрь периметра проникнет замаскированный злоумышленник, их ждет разочарование.

Минусы безопасности периметра

В наши дни безопасность периметра уже не в силах обеспечить надлежащую защиту цифровой корпоративной собственности. Киберугрозы изменились, а это значит, что контроль и защита должны распространяться на другие области. Крупные организации, включая банки, имеют дело с разрозненными сетями данных и разнородными наборами приложений, которыми пользуются сотрудники, клиенты и партнеры как локально, так и через Интернет. Все это превращает защиту периметра в гораздо более трудно решаемую задачу. Даже если «рвы» и «стены» удержат врагов, идущих на приступ, они не помогут, если угроза исходит изнутри: например, если удостоверение пользователя было скомпрометировано или взломщик сумел проникнуть в систему.

Ниже приведены примеры уязвимостей, которые типичны для банков, заботящихся только об охране периметра.

• Проверка прав доступа сотрудников к приложениям проводится только раз в год.
• Несогласованные и двусмысленные политики прав доступа полностью отданы на усмотрение руководителя. Кадровые перемещения контролируются слабо.
• ИТ-специалисты при каждом удобном случае используют учетные записи с привилегиями администратора.
• Данные клиентов хранятся в общедоступных папках, причем таких папок много и никто толком не знает, кто имеет к ним доступ.
• Аутентификация пользователей производится только с помощью паролей — считается, что этого более чем достаточно.
• Данные не классифицируются, по ним не ведутся отчеты, в результате никто не знает, что где находится.
• Для передачи файлов с конфиденциальными данными часто используются USB-устройства флэш-памяти.

Преимущества модели «Никому не доверяй» для банков и клиентов

Модель «Никому не доверяй» обладает хорошо известными преимуществами, и все большее число реальных примеров показывает, что этот подход действительно позволяет предотвращать самые изощренные кибератаки. Тем не менее до сих пор многие банки предпочитают методы, далекие от принципов «Никому не доверяй».

С моделью «Никому не доверяй», банки могут повысить свой уровень безопасности и без опаски внедрять инициативы, предоставляющие сотрудникам и клиентам больше гибкости. Например, служащим, которым по роду деятельности часто приходится встречаться с клиентами (менеджерам по работе с клиентами и финансовым консультантам), была бы предоставлена свобода перемещений, и они могли бы заниматься своей работой вне стен банка. В наши дни во многих финансовых учреждения консультанты до сих пор работают «по старинке» — демонстрируя клиентам бумажные распечатки и статичные графики. Между тем и клиентам, и сотрудникам нужно более динамичное взаимодействия с опорой на данные, предоставляемые в режиме реального времени.

Банки, «окопавшиеся» в пределах защищенного периметра, неохотно «выпускают» данные за пределы физической сети. Поэтому их служащие и финансовые консультанты могут использовать динамические модели опробованных и упорядоченных инвестиционных стратегий, только если встреча с клиентом происходит в здании банка.

Служащим банка и финансовым консультантам всегда было трудно получить удаленный доступ к инвестиционной модели в режиме реального времени или активно сотрудничать с другими сотрудниками и биржевыми маклерами. Для этого, по крайней мере, нужна была виртуальная частная сеть. А ведь именно эта гибкость необходима для принятия успешных решений по инвестициям к вящему удовлетворению клиентов. Модель «Никому не доверяй» позволяет менеджеру по работе с клиентами или аналитику пользоваться данными, поступающими от поставщиков информации о рынках, объединять их с собственными моделями и в динамическом режиме работать с различными сценариями и клиентами тогда и там, где это удобно.

Мы вступили в новую эру интеллектуальных средств безопасности на базе облака и модели «Никому не доверяй». Теперь банки могут успешно оптимизировать и модернизировать свою архитектуру безопасности и соответствия требованиям.

Преобразование системы безопасности банка с Microsoft 365

Microsoft 365 позволяет немедленно перейти к модели «Никому не доверяй» за счет развертывания трех ключевых стратегий.

• Удостоверение и аутентификация: в первую очередь банк должен убедиться, что пользователь — именно тот, за кого себя выдает, и предоставить доступ, соответствующий его роли. Благодаря Azure Active Directory (Azure AD) банки могут использовать единый вход, чтобы предоставить проверенным пользователям удаленный доступ к приложениям, что позволит мобильным сотрудникам эффективно и безопасно пользоваться ресурсами.

Банки могут внедрить строгие методы аутентификации, например двухфакторную проверку подлинности или Многофакторную идентификацию (MFA), которая не требует пароля и может снизить риск нарушения безопасности данных на 99,9%. Microsoft Authenticator поддерживает push-уведомления, одноразовые секретные коды и биометрические данные для подключенных приложений Azure AD.

Для входа на устройства с Windows банковские служащие могут использовать Windows Hello — удобную и безопасную функцию распознавания лиц. Наконец, банки могут воспользоваться условным доступом Azure AD и защитить ресурсы от подозрительных запросов, применив соответствующие политики доступа. Совместное использование Microsoft Intune и Azure AD гарантирует, что только управляемые и отвечающие требованиям устройства смогут получить доступ к службам Office 365, включая электронную почту и локальные приложения. Intune также позволяет оценить, насколько устройство соответствует требованиям. От этого статуса соответствия требованиям зависит политика условного доступа, которая будет применена к пользователю при попытке получить доступ к данным.

Схема, иллюстрирующая условный доступ.

• Защита от угроз: Microsoft 365 обладает интегрированной и автоматизированной системой безопасности Защита от угроз (Майкрософт). Благодаря ей банки могут повысить свою способность защищаться от атак, выявлять их и противостоять им. Система использует одну из крупнейших в мире коллекций сигналов угроз от Microsoft Intelligent Security Graph и расширенные средства автоматизации на базе искусственного интеллекта, чтобы улучшить свою способность распознавать инциденты и реагировать на них, что позволяет сотрудникам служб безопасности тщательно, эффективно и оперативно обезвреживать угрозы. Центр безопасности Microsoft 365 — это централизованная платформа и специализированная рабочая среда, позволяющая управлять интеллектуальными системами безопасности Microsoft 365 и полноценно использовать их для управления идентификацией и доступом, защиты от угроз, защиты информации и управления безопасностью.

Центр безопасности Microsoft 365.

• Защита информации: хотя кибератакам прежде всего подвергаются удостоверения и устройства, основной интерес для злоумышленников представляют данные. Благодаря Microsoft Azure Information Protection банки могут обеспечить надежную защиту конфиденциальных данных независимо от того, где они находятся и куда передаются. Microsoft 365 позволяет клиентам 1) определять и классифицировать конфиденциальные данные; 2) применять гибкие политики защиты; 3) следить за конфиденциальными данными, подвергающимися риску, и исправлять их.

Пример применения классификации и защиты.

Модель «Никому не доверяй» и простое управление безопасностью

Microsoft 365 использует архитектуру «Никому не доверяй», что позволяет упростить управление безопасностью, а также повысить прозрачность, масштабируемость и интеллектуальные возможности системы, необходимые для успешного противодействия киберпреступникам.

Модель «Никому не доверяй» обеспечивает оптимальную защиту от современных киберугроз. Она будет надежно оберегать ваш цифровой «замок». Среда «Никому не доверяй» ведет постоянное наблюдение за тем, кто, когда и откуда пытается получить доступ к данным, и проверяет, можно ли вообще этот доступ предоставить.

Благодаря встроенным в Microsoft 365 функциям безопасности и соответствия требованиям вы можете сначала проверить пользователя или устройство, прежде чем допустить его к своим данным. Microsoft 365 также станет отличной платформой для эффективной совместной работы. В целом Microsoft 365 — это универсальное решение, которое поможет руководителям банка сосредоточиться на работе с клиентами и внедрении инноваций.